La fine del progetto di standardizzazione della crittografia post-quantistica del NIST è iniziata. Lo ha rivelato negli scorsi giorni l’agenzia che gestisce le tecnologie USA con l’annuncio del primo gruppo di quattro algoritmi considerati in grado di resistere all’attacco di computer quantistici. Una tappa importante in vista del loro effettivo arrivo. Non se ne conosce ancora la data, dal momento che i pareri discordanti degli esperti rendono impossibile fare un count down, ma lasciano accesa l’urgenza di farsi trovare pronti. Presto o tardi, la sicurezza oggi fornita dalla crittografia in uso, infatti, si sgretolerà davanti ai nostri occhi e potrebbe accadere in tempi considerevolmente lunghi, ma anche imprevedibilmente brevi.
Standard crittografico post-quantistico entro due anni da oggi
La corsa ad una crittografia quantum resistant, oggi sentita soprattutto dal mondo tech, è una mission di sicurezza globale, trasversale e di rilevanza sociale. Questa tecnologia, infatti, protegge anche le informazioni elettroniche sensibili semplicemente scambiate tramite siti web o mail, assicurando che non siano accessibili a terze parti. I problemi matematici oggi irrisolvibili su cui si basa diventeranno banali calcoli nell’era del quantum computing. Una minaccia che i quattro algoritmi svelati dal NIST potrebbero contrastare, difendendo così la privacy sia oggi che in futuro.
Creati da esperti, in collaborazione con diversi Paesi e istituzioni, questi nuovi strumenti di sicurezza riguardano i due compiti principali per i quali la crittografia è tipicamente utilizzata: crittografia generale e firme digitali. Nel primo caso si ha un solo algoritmo selezionato, per ora, e sarà suo compito proteggere le informazioni scambiate su reti pubbliche. Si chiama CRYSTALS-Kyber, è molto veloce e presenta chiavi relativamente piccole e facili da scambiare.
Gli altri tre sono tutti mirati a verificare l’identità durante le transazioni digitali o le firme su un documento a distanza. Quello principale è CRYSTALS-Dilithium, FALCON lo affianca per le firme più piccole e SPHINCS+ fa da “riserva”. Pur essendosi dimostrato sia più grande che più lento, resta prezioso perché basato su funzioni hash, un approccio matematico diverso da quello dei reticoli strutturati presente in tutti gli altri.
Questo primo gruppo di strumenti di crittografia candidati a resistere all’assalto di un futuro computer quantistico entrerà a far parte dello standard crittografico post-quantistico del NIST, che dovrebbe essere finalizzato tra circa due anni. Se ne uniranno altri: in esame ci sono quattro nuovi algoritmi, stavolta tutti per la crittografia generale e con approcci matematici ancora differenti.
NIST verso il quarto round: standardizzazione e nuovi algoritmi
La strategia a più fasi con cui procede il NIST, conferma la necessità di offrire non “la soluzione”, ma un’ampia varietà di strumenti solidi di difesa. Lo richiede sia la diversità dei compiti e dei contesti in cui oggi la crittografia viene impiegata, sia la prudenza legata alle reali capacità dei futuri computer quantistici. L’obiettivo è quello di offrire più di un algoritmo per ogni caso d’uso, per avere un “piano B” se uno di questi si rivelasse vulnerabile.
Ciò non intacca l’importanza del recente annuncio, che rappresenta una pietra miliare di un percorso iniziato nel 2016. Lanciata la sfida per la crittografia del futuro agli esperti di tutto il mondo, il NIST già dopo un anno aveva tra le mani un gruppo di 82 algoritmi di cui 69 ritenuti sufficientemente idonei per partecipare a un primo round di selezione. Nel 2019, 26 sono passati al secondo round e, nel 2020, 7 sono passati al terzo che ha portato ai quattro appena raccomandati per la standardizzazione.
Aziende e fornitori che vogliono essere conformi al NIST possono già iniziare a esplorarli e capire come integrarli, ma senza procedere. Nel finalizzare lo standard gli attuali algoritmi potrebbero, infatti, subire variazioni. Lo si scoprirà durante il quarto round in cui il NIST analizzerà anche altri quattro nuovi “finalisti”. Sarà un ulteriore passo avanti verso il raggiungimento della resilienza crittografica, per assicurarsi l’opportunità di passare a nuovi algoritmi se quelli ampiamente utilizzati si rompono.